Запрягали долго. Поедем ли быстро…

Запрягали долго. Поедем ли быстро...

Михаил Емельянников, заместитель коммерческого директора НИП "ИНФОРМЗАЩИТА"

СТРАННОЕ ДЕЛО - Федеральный закон о персональных данных (ПД) так и не заработал (пока?), а тема их защиты - одна из самых обсуждаемых как на различных конференциях, встречах, форумах по безопасности, так и в прессе. Базы данных продаются, фирмы открыто рекламируют услуги по адресной рассылке физическим лицам.

Но, что интересно, никаких масштабных утечек, имеющих социальные последствия, за прошедший год не произошло. Последний случай, вызвавший общественный резонанс, был в 2006 г., когда с августа по декабрь активно продвигалась база данных заемщиков банков, выросшая за это время с 700 тыс. до 4 млн записей. Цитирую "Интерфакс" от 4 апреля прошлого года: "Следователи МВД России выяснили, что ПД заемщиков банков и их кредитные истории не являются достоверными. Такие данные содержатся в ответе на запрос депутата в МВД. "Фактически продавались фальшивые данные", - заявил глава Ассоциации региональных банков России и депутат Госдумы Анатолий Аксаков".

В связи с этим возникает два вопроса:

1. Отсутствие существенных утечек за год - случайность или все-таки следствие вступления в силу с 26 января 2007 г. Федерального закона?
2. Каким ненормальным надо быть, чтобы фальсифицировать 4 млн записей о заемщиках для продажи по 2000 рублей за диск? Стоимость затрат на формирование такой базы даже нищими студентами будет гораздо выше возможного дохода.

Итак, почему не заработал закон. Причин несколько, но, на мой взгляд, главных всего три:

1. Государственные органы так и не рассказали, каким об разом следует выполнять закон.
2. Никто так и не начал контролировать его выполнение.
3. В силу двух первых причин у бизнеса нет никаких стимулов что-то делать, а у госорганов и бюджетных организаций на это просто нет денег.

Теперь подробнее о каждой причине.

Вступление в силу закона безо всяких к нему нормативных и методических документов было большой ошибкой, и сейчас это совершенно очевидно. К этому моменту (26 января прошлого года) не было ни требований по обеспечению безопасности (ст. 19 закона - "Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"), ни официально назначенного уполномоченного органа по защите прав субъектов ПД (ст. 23 закона - "Уполномоченным органом по защите прав субъектов персональных данных... является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи", то есть Россвязьнадзор на тот момент), ни даже ясности относительно того, что нужно делать.

"Мясо" на скелете закона начало нарастать только к лету прошлого года: распоряжением Правительства РФ от 15 августа 2007 г. № 1055-р предусматривалась разработка или переработка в связи с принятием одиннадцати нормативных актов закона, девять из которых предполагалось утвердить до конца прошлого года. Принят только один - Постановление Правительства РФ от 17 ноября 2007 г. № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных". Однако требования в нем сформулированы в самом общем виде, а далее снова идет отсылочная норма: "ФСБ России и ФСТЭК утвердить в пределах своей компетенции в 3-месячный срок нормативные правовые акты и методические документы, необходимые для выполнения требований, предусмотренных Положением, утвержденным настоящим Постановлением". Прошли три месяца со дня принятия, потом со дня опубликования, а документов как не было, так и нет.

Только 15 декабря 2007 г. появилось постановление Правительства РФ № 878, возложившее функции уполномоченного органа на Россвязьох-ранкультуру, прошедшую очередную административную реорганизацию. Почти год закон работал без ключевого звена, на которое возложено "обеспечение контроля и надзора за соответствием обработки ПД требованиям Федерального закона". Пока орган укомплектуют, пока он создаст внутренние документы и заработает, пройдет еще один год. В том, что его укомплектуют квалифицированными специалистами, есть большие сомнения. На сайте федеральной службы (http://www.rsoc.ru/site/gov/) вывешено приглашение на работу в Управление по защите прав субъектов ПД. Начальник отдела - должностной оклад 4681 руб. в месяц, главный специалист-эксперт - 3520 руб. Кто и как за такие деньги за соблюдением наших прав надзирать будет? Грустно все это.

Результат - приказ Россвязь-охранкультуры, утвердивший форму уведомления об обработке ПД и рекомендации по его заполнению, появился только 11 января 2008 г., и это притом, что по закону все уведомления необходимо было представить еще до 1 января.

В этих условиях рассчитывать, что коммерческие компании и организации начнут немедленно выполнять требования закона и строить систему ИБ персональных данных, по крайней мере, наивно.

Что же надо выполнять?

Однако ясность по некоторым позициям есть.

По закону все без исключения юридические лица страны, нанимающие персонал, и некоторые физические лица являются операторами ПД. Всем им, как минимум, надо провести аудит своей собственной информационно-коммуникационной системы и выявить приложения, обрабатывающие ПД. Уже на этом этапе может выясниться масса интересного. Кроме баз данных собственных работников (в кадровой службе и бухгалтерии - как минимум), клиентов - физических лиц (абонентских баз операторов связи, баз данных пассажиров у транспортных перевозчиков, баз клиентов банков и страховых компаний и т.п.), у многих можно будет, вероятно, обнаружить контактные данные работников контрагентов в различных системах, начиная от CRM, OSS, BSS и заканчивая тривиальными адресными книгами почтовых систем, базы данных программ лояльности и многое другое. Для каждой из таких баз надо определить основания обработки ПД. Все предусмотренные законом случаи для большинства организаций и предприятий сведутся к трем:

1. наличие согласия субъектов ПД;
2. наличие федерального закона, устанавливающего цель обработки, условия получения ПД и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
3. исполнение договора, одной из сторон которого является субъект ПД.

Здесь тоже все не так просто. Если обработка ПД собственных работников прямо предусматривается главой 14 Трудового кодекса, с абонентами компаний связи и пассажирами имеются договора (с последними в виде билета, который, в соответствии со ст.786 Гражданского кодекса, удостоверяет заключение договора перевозки), то найти основания для обработки сведений о работниках контрагента, к примеру, телефонной компании, обслуживающей здания вашего предприятия, будет весьма проблематично. Договор есть, но между двумя юридическими лицами. А вот откуда взялись данные о конкретном инженере (мастере, монтажнике) Иванове (Петрове, Сидорове) с точки зрения закона объяснить довольно трудно.

Еще сложнее с передачей ПД третьим лицам. В вашей компании работники имеют полис добровольного медицинского страхования? Отлично, для них работодатель сделал доброе дело. Но вот без письменного согласия работника передавать его данные в страховую компанию нельзя. В письменном согласии должны быть:

1. ФИО, адрес, номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2. наименование и адрес оператора, получающего согласие;
3. цель обработки ПД;
4. перечень ПД, на обработку которых дается согласие;
5. перечень действий с ПД, на совершение которых дается согласие, общее описание используемых способов обработки ПД;
6. срок, в течение которого действует согласие, а также порядок его отзыва.

Я пробовал такое согласие составить - страница плотного текста двенадцатым кеглем.

Кстати, по этой же причине не выдерживают критики большинство разделов, касающихся ПД, в договорах физических лиц с банками. Типичный вариант такого раздела, взятый из реальной жизни:

"Настоящим даю свое согласие АКБ "Банк такой-то":

• на обработку своих ПД в соответствии с требованиями ФЗ "О персональных данных" (под обработкой персональных данных в соответствии со ст. 3 ФЗ "О персональных данных" понимаются действия (операции) с персональными данными физических лиц, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных);
• на получение АКБ "Банк такой-то" необходимой информации из Бюро кредитных историй в соответствии с Федеральным законом "О кредитных историях" № 218-Ф3 от 30.12.2004".

Не пойдет так, в законе - все по-другому. А некоторые еще и норовят вставить в текст что-то типа "включая обработку Банком ПД Заемщика в целях продвижения на рынке услуг Банка путем осуществления с Заемщиком прямых контактов с помощью средств связи" или "даю также согласие на передачу моих ПД иным лицам, в процессе осуществления и защиты Банком своих прав, обязанностей и законных интересов, когда предоставление ПД происходит в соответствии со сложившимся обычаем делового оборота". Нет такого основания для передачи ПД третьим лицам, как "обычаи делового оборота".

Все это будет проходить до того момента, когда граждане наконец-то начнут читать договора и задумываться о последствиях их исполнения. Вот тогда и начнутся жалобы в общества защиты прав потребителей, в Россвязьохранкультуру, в антимонопольную службу и Центробанк. Кстати, Ю.Забудько, начальник отдела су-дебно-претензионной работы по защите прав субъектов персональных данных Россвязьох-ранкультуры, на прошедшей недавно конференции для транспортных компаний заявила, что жалоб граждан уже накопилось достаточно для начала судебных преследований некоторых операторов.

Еще хуже обстоит дело для тех операторов, которые получали ПД с использованием Web-форм через Интернет. У них вообще никаких подтверждений согласия на обработку нет, поскольку, по закону, оно должно даваться только в письменной форме, а обязанность предоставить доказательство получения согласия субъекта персональных данных на их обработку возлагается на оператора. Это касается практически всех кадровых агентств, ведущих прием резюме соискателей на своих сайтах.

Комментарий эксперта

Михаил Пышкин, эксперт, CISM BS 7799 LA

Мнение о том, что "Федеральный закон о персональных данных (ПД) так и не заработал", высказанное в статье, представляется в целом правильным. Несмотря на это, сам факт принятия закона уже представляет собой заметный позитивный сдвиг в области защиты информации в стране. В то же время некоторая декларативность его положений явно связывает руки исполнителям при проведении практических действий в рамках его реализации. Удивляет некоторая неспешность в принятии уже разработанных рекомендаций по защите ПД, при этом часть документов все еще разрабатывается согласно документу "Перспективная программа развития национальных стандартов, обеспечивающих их гармонизацию с международными стандартами в научно-технической и производственной сферах на 2008-2012 гг.".

Отмечаются также некоторые несоответствия. Например, банк как оператор обработки ПД обязан обеспечить их безопасность, но при этом (п. 2 ст. 22 ФЗ "О персональных данных") он вправе обрабатывать ПД без уведомления уполномоченных органов по защите прав субъектов персональных данных. Каким образом будет устранено данное противоречие, в настоящий момент не вполне ясно. Те персональные данные (согласно п. 1 ст. 4 ФЗ "О персональных данных"), которые получают кредитные организации, подпадают под иные ФЗ. Некоторые ответы на эти вопросы можно найти в Письме ЦБ РФ от 11.01.2008 года № 1-Т.

В части контроля также остается много вопросов. В документе "Рекомендации АРБ по реализации Федерального закона от 27.07.2006 г. № 152-ФЗ" указывается: "...также обращаем внимание КО на то, что исходя из имеющейся информации после 10 января 2008 г. названный уполномоченный орган, обладающий широкими полномочиями (вплоть до обращения в надзорный орган с просьбой об отзыве лицензии), будет осуществлять массовые проверки исполнения Закона".

Информация о том, что с августа по декабрь 2006 г. активно продвигалась база данных заемщиков банков, к сожалению, не единственный пример.

По сообщениям новостных лент на 24 марта 2008 г.: "На позапрошлой неделе в Интернете начал работу сайт www.rada-rix.com, на котором размещена подробная информация обо всех гражданах России и ряда стран СНГ. Помимо "традиционных" баз данных, содержащих телефоны и адреса, на нем содержатся паспортные данные, адреса, данные из налоговых органов и ГИБДД. Через сайт можно узнать много интересного. Например, есть ли у человека судимость, были ли у него приводы в милицию, брал ли он в банке кредиты. К счастью, сайт в течение суток пал жертвой сетевой атаки, а в дальнейшем, возможно, будет и ликвидирован, но сам прецедент, тем не менее, вызывает законную тревогу граждан РФ".